Comprendo il concetto di classificare i nostri dati e associare i gradi di rischio a diverse classi di dati. La mia domanda è questa: esiste un precedente per classificare gli utenti allo stesso modo? In particolare, esiste uno standard (come il NIST o qualche altro) che suggerisce di classificare gli utenti e il rischio associato ad essi allo stesso modo di uno con i dati?
Non credo che esistano standard comuni che si concentrino sull'assegnazione specifica dei livelli di rischio agli utenti, ma ci sono certamente elementi di questo compito in quasi tutte le metodologie di gestione del rischio. In primo luogo, vuoi concentrarti sugli attori delle minacce e sulle sezioni di impatto, in quanto essenzialmente stai cercando di produrre una valutazione del rischio basata sull'accesso che l'utente ha, quale motivazione potrebbero essere malevole e quale impatto avranno di conseguenza i dati su i loro sistemi potrebbero essere.
Personalmente, inizierei con la metodologia di valutazione del rischio OWASP , concentrandomi principalmente sulla sezione degli attori delle minacce e sezioni fattori di impatto tecnico / aziendale. Dovresti anche dare un'occhiata alla sezione Ulteriori letture di questo articolo , che dovrebbe darti un sacco di opzioni tra cui scegliere da per metodi alternativi di classificazione del rischio.
Leggi altre domande sui tag risk